Benutzer "einsperren"

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
talknet
Posts: 17
Joined: 2004-05-19 12:39
Location: Kamp-Lintfort

Benutzer "einsperren"

Post by talknet »

Hallo,
ich hätte da mal ne Frage: Ich möchte Benutzer benutzer im Verzeichnis /home/benutzer/ einsperren, also das für ihn /home/benutzer/ das Verzeichnis / ist.

Ich dachte sofort an chroot, aber die man page war nicht sehr aufschlussreich.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Benutzer "einsperren"

Post by dodolin »

Ich möchte Benutzer benutzer im Verzeichnis /home/benutzer/ einsperren, also das für ihn /home/benutzer/ das Verzeichnis / ist.
Warum?

talknet
Posts: 17
Joined: 2004-05-19 12:39
Location: Kamp-Lintfort

Re: Benutzer "einsperren"

Post by talknet »

Weil alles andere für ihn uninteressant ist. Er darf einfach nicht tiefer. Um genauer zu sein ist es ein Hostingpanel in der Entwicklung. Der Benutzer cpuunderground hat sein www verzeichnis in /hostadmin/reseller/main/cpu-underground.com/ , und für ihn soll beim SSH Login /hostadmin/reseller/main/cpu-underground.com/ als / Verzeichnis dienen, tiefer soll er nicht.

Ich les in einer der zigtausenden Threads die die Suche geliefert hat etwas con sshonly oder so.. könnte das etwas sein ? ich seh nämlihc nicht was es genau macht.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Benutzer "einsperren"

Post by dodolin »

Du meinst wohl scponly, aber das ist ja nur für SCP, nicht für interaktiven Login. Deine Vermutung mit "chroot" war schon richtig. Vielleicht mal im Web nach diversen Howtos dazu suchen, wenn die manpage nicht weiterhilft...?

talknet
Posts: 17
Joined: 2004-05-19 12:39
Location: Kamp-Lintfort

Re: Benutzer "einsperren"

Post by talknet »

Naja, das was in der Man steht hat mich was verunsichert :
NAME
chroot - Kommando oder interaktive Shell mit speziellem Wurzelverzeich-
nis laufen lassen

Ã?BERSICHT
chroot NEUEROOT [BEFEHL...]
chroot OPTION

BESCHREIBUNG
Führe BEFEHL aus mit Root-Verzeichnis auf NEUEROOT gesetzt.

--help gib diese Hilfe aus und beende Programm

--version
gib Versionsinformation aus und beende Programm

Wurde kein BEFEHL angegeben, führe ${SHELL} (Standard: /bin/sh)
aus.
Ich werd da nicht draus schlau , ich will ja das nicht nur für nen einzelnen befehl machen.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Benutzer "einsperren"

Post by dodolin »

oder interaktive Shell mit speziellem Wurzelverzeich-
nis laufen lassen
Also?!

talknet
Posts: 17
Joined: 2004-05-19 12:39
Location: Kamp-Lintfort

Re: Benutzer "einsperren"

Post by talknet »

Ich probiers aus.. Ich trag doch schon ne Brille.. ich krieg zuviel.. Aber trotzdem keine Idee wie ich es anweden kann.. ich such mal nach HowTos.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Benutzer "einsperren"

Post by captaincrunch »

Stichworte: scponly, rssh, oder (wenn's dann doch unbedingt ein Login sein soll) das Chroot-Login-Howto.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

snowstorm
Posts: 4
Joined: 2004-07-19 21:04

Re: Benutzer "einsperren"

Post by snowstorm »

was passiert eigentlich wenn ein user innerhalb eines chroot mit insmod versucht ein modul einzufügen?

kann er ja vorcompiled rein theoretisch alles in seine sandbox hochschieben

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Benutzer "einsperren"

Post by captaincrunch »

Ich sag's gerne immer wieder: ein chroot an sich hält heutzutage nicht mal mehr alls Scriptkiddies ab ( siehe dazu auch (z.B.) http://www.linuxsecurity.com/feature_st ... ry-99.html ). In Verbindung mit zusätzlichen Patches (z.B. aus dem GRSecurity-Projekt) lässt sich die Sicherheit aber erheblich verbessern (keine chroot-im chroots, usw).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Benutzer "einsperren"

Post by dodolin »

was passiert eigentlich wenn ein user innerhalb eines chroot mit insmod versucht ein modul einzufügen?
Auch in einem chroot ist der User ja nicht UID 0, sondern User XY. Konnte jemals ein User != UID 0 per insmod Module laden (ohne jetzt per Exploit zu UID 0 zu werden)?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Benutzer "einsperren"

Post by captaincrunch »

Konnte jemals ein User != UID 0 per insmod Module laden (ohne jetzt per Exploit zu UID 0 zu werden)?
Auch wenn's vielleicht jetzt nicht direkt auf Rootserver bezogen ist: schon mal überlegt was passiert, wenn du auf deiner Workstation ISO9660-Support nur als Modul einkompiliert hast, dieses nicht bereits geladen ist, und du eine CD (als User) mountest? ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Benutzer "einsperren"

Post by dodolin »

schon mal überlegt was passiert, wenn du auf deiner Workstation ISO9660-Support nur als Modul einkompiliert hast, dieses nicht bereits geladen ist, und du eine CD (als User) mountest?
Das funktioniert aber nur, wenn root in /etc/fstab explizit erlaubt hat, dass der User das darf und beschränkt sich dann auf das iso9660 Modul. Insofern sehe ich jetzt nicht, dass das direkt etwas mit meiner Aussage zu tun hätte. ;)

talknet
Posts: 17
Joined: 2004-05-19 12:39
Location: Kamp-Lintfort

Re: Benutzer "einsperren"

Post by talknet »

Kann man eigentlich bestimmte Befehle für bestimmte Benutzer verbieten ? Dann würd sich das Problem ja haben.

snowstorm
Posts: 4
Joined: 2004-07-19 21:04

Re: Benutzer "einsperren"

Post by snowstorm »

hatt mich eben vieleicht etwas missverständlich ausgedrückt *g

das mit dem insmod sollt nur ein beispiel sein, war wohl eher ein griff ins klo - aber egal...

wollt damit nur sagen, dasses einen nicht daran hindert aus dem chroot auszubrechen, bzw. anderen unfug damit anzustellen...

gibt ja au die möglichkeit devices etc... anzulegen usw...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Benutzer "einsperren"

Post by captaincrunch »

wollt damit nur sagen, dasses einen nicht daran hindert aus dem chroot auszubrechen, bzw. anderen unfug damit anzustellen...
Siehe den von mir geposteten Link weiter oben. Ist nur einer unter vielen. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc